内部監査に関する法規制の最新情報2025年版
- 敏行 鎌田
- 2月13日
- 読了時間: 3分
2025年、内部監査の分野では新たな法規制が施行され、組織の監査体制に大きな影響を及ぼしています。特に注目すべきは、「グローバル内部監査基準™」と、EUが導入した「デジタル運用レジリエンス法(DORA)」です。これらの新基準・規制の概要と、組織が取るべき対応策について解説します。
グローバル内部監査基準™の施行
内部監査人協会(IIA)は、従来の「国際プロフェッショナル実務フレームワーク(IPPF)」を全面的に改訂し「グローバル内部監査基準™」を2025年1月9日より施行しました。
この新基準は、内部監査の品質向上と責任の明確化を目的としており、以下の特徴があります。
構造の簡素化と明確化:5つのドメインと15の原則で構成され、内部監査の実施に関する要求事項が整理されています。
ガバナンスの強化:内部監査部門と取締役会、経営陣との協働を促進し、内部監査のガバナンス体制を強化することが求められています。
公共セクターや小規模組織への配慮:新基準は、公共セクターや小規模な組織にも適用しやすいように設計されています。
組織は、新基準の施行に伴い、現行の監査プロセスや手順を見直し、必要な変更を評価・実施することが求められます。また、ステークホルダーとの積極的なコミュニケーションを図り、基準適用に向けた基盤を構築することが重要です。
EUのデジタル運用レジリエンス法(DORA)の導入
EUは、金融サービス業界のサイバーレジリエンスを強化するため、「デジタル運用レジリエンス法(DORA)」を2025年1月17日に施行する予定です。
DORAは、金融機関や関連サービスプロバイダーのITインフラやシステムの安定性を強化することを目的としており、以下の要件が含まれます。
ICTリスク管理フレームワークの構築:日常業務を支えるシステム上のリスクを体系的に管理し、定期的に見直す仕組みの構築が求められます。
脆弱性テストや侵入テストの実施:重大な金融機関は、脅威ベースのペネトレーションテストを3年に一度以上行い、日常的なセキュリティテストも年に1回以上行うことが推奨されています。
インシデント報告の義務化:サイバー事故や障害発生時の報告を24時間以内に行う義務があります。小規模事業者の場合は72時間以内の猶予が設けられるケースもあります。
サードパーティリスク管理の強化:外部委託先(クラウドサービスなど)を含めたリスク評価や契約上のセキュリティ要件の明確化が求められます。
DORAに違反した場合、最高で「グローバル売上高の1%」の罰金が科される可能性があり、GDPR同様、EU外の企業にも適用されるため、世界中の金融ビジネスに重大な影響を与えると考えられます。
組織が取るべき対応策
これらの新たな基準や規制に対応するため、組織は以下の対策を検討する必要があります。
内部監査プロセスの見直し:新基準や規制の要求事項に沿って、現行の監査手順やプロセスを再評価し、必要な変更を実施します。
ステークホルダーとの連携強化:取締役会や経営陣、関連部門とのコミュニケーションを強化し、基準適用に向けた協力体制を構築します。
リスク管理体制の強化:ICTリスク管理フレームワークの構築や、サードパーティリスクの評価・管理を徹底します。
教育・研修の実施:新基準や規制に関する社内教育や研修を実施し、従業員の理解と対応力を向上させます。
これらの対策を講じることで、組織は新たな法規制に適切に対応し、内部監査の品質向上とリスク管理の強化を図ることができます。
